Geltungsbereich
§ 2Regelungszweck
§ 3Personenbezogene Bezeichnungen
§ 4Begriffsbestimmungen
§ 5Authentifizierung
§ 6Datenmanagement im Bildungsportal
§ 7Anforderungen an IT-Systeme und Dienste
§ 8Hosting
§ 9Organisatorische Datensicherheitsmaßnahmen
§ 10Endgeräteverwaltung für digitale Endgeräte
§ 11Anwendungsbezogene Anforderungen an digitale Endgeräte
§ 12IT-Nutzungsbedingungen
§ 13Funktionalitäten der Endgeräte im IKT-gestützten Unterricht
§ 14Elektronische Kommunikation mit Erziehungsberechtigten
§ 16Übergangsbestimmung
§ 17Verweise auf Bundesgesetze
§ 18Inkrafttreten
Vorwort
Diese Verordnung verfolgt die Zwecke
1. der Konkretisierung technischer und organisatorischer Maßnahmen im Sinne der Art.32 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2 (im Folgenden: DSGVO) zur Gewährleistung der Sicherheit bei Datenverarbeitungen im Bereich der Schulverwaltung, der Unterrichtsdokumentation und der elektronischen Kommunikation im Schulbereich (2. Abschnitt);
2. der Festlegung von Vorgaben gemäß § 14a SchUG über die erforderlichen technischen und organisatorischen Maßnahmen für IKT-gestützten Unterricht, digitale Lern- und Arbeitsformen sowie für den Einsatz digitaler Endgeräte im Rahmen der schulischen Verwendung, insbesondere auch hinsichtlich der Funktionalität für den Unterricht und der Sicherheit der Geräte (zB Mobile Device Management und Fernverwaltung) im Sinne des § 6 des Bundesgesetzes zur Finanzierung der Digitalisierung des Unterrichts – SchDigiG, BGBl. I Nr. 9/2021;
3. der Regelung der elektronischen Kommunikation mit Schülerinnen und Schülern sowie Erziehungsberechtigten (zB elektronisches Mitteilungsheft).
Soweit in dieser Verordnung auf natürliche Personen bezogene Bezeichnungen angeführt sind, beziehen sich diese auf alle Geschlechtsformen in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
Im Sinne dieser Verordnung sind zu verstehen:
1. unter dem Begriff „Schulverwaltung“: sämtliche Verarbeitungen personenbezogener Daten, die in datenschutzrechtlicher Verantwortung der Schulleitung am Schulstandort aufgrund schulgesetzlicher Regelungen vorzunehmen sind, soweit sie nicht in den Z 3 bis 6 geregelt sind; davon umfasst sind
a) Verarbeitungen von Schülerinnen- und Schülerdaten in den Evidenzen gemäß § 5 BilDokG 2020; dazu gehören jedenfalls alle IT-Systeme und Dienste, soweit deren Benutzerinnen und Benutzer, insbesondere in der Rolle der Schulleitung oder Sokrates-Administration damit schulweit auf personenbezogene Daten von Schülerinnen und Schülern zugreifen können, oder die überwiegend zur Verwaltung personenbezogener Daten nach Art. 9 Abs. 1 DSGVO eingesetzt werden,
b) Verarbeitungen von Schülerinnen- und Schülerdaten und Daten der Erziehungsberechtigten im Datenverbund der Schulen gemäß § 6 BilDokG 2020,
c) Verarbeitungen von Schülerinnen- und Schülerdaten zur Ausstellung von Zeugnissen,
d) Datenverarbeitungen in Bezug auf Stundenplanerstellung, Personalverwaltung, aktenmäßige Kommunikation zwischen Schule und Schulbehörde;
2. unter dem Begriff „Endgeräteverwaltung“: ein IT-System zur zentralisierten Verwaltung von digitalen Endgeräten gemäß Z 11 (Mobile Device Management); dieses IT-System dient der Erfüllung der in § 10 festgelegten Funktionalität;
3. unter dem Begriff „Unterrichtsdokumentation“: sämtliche Verarbeitungen von Schülerinnen- und Schülerdaten, die zu Zwecken der laufenden Dokumentation des Unterrichts und der Leistungsbeurteilung durch die Lehrperson vorgenommen werden sowie Datenverarbeitungen zur Durchführung von Kompetenzerhebungen;
(1) Beim Login an IT-Systemen und Diensten, etwa durch Anmeldung im Schulnetz bzw. an einem Bildungsstammportal, ist eine Authentifizierung durch personenbezogene Benutzerkennung und Passwort erforderlich. Dabei sind die IT-Systeme und Dienste so zu konfigurieren, dass Passwörter ausreichend komplex zu gestalten sind. Weiters sind die Benutzerinnen und Benutzer zu belehren, dass Passwörter nicht weitergegeben werden dürfen.
(2) Bei IT-Systemen und Diensten für Datenverarbeitungen gemäß § 4 Z 1 und 2 ist zusätzlich eine Mehr-Faktor-Authentifizierung erforderlich (etwa mittels Technologien wie Handysignatur, TANs über dienstliche Mail-Adresse, biometrische Merkmale oder gleichwertige Maßnahmen).
(3) Zur Gewährleistung der IT-Sicherheit in Schulen, in der Schulverwaltung und zum Schutz der Rechte von Schülerinnen und Schülern, Lehrpersonen und Erziehungsberechtigten ist die Anmeldung und Nutzung von IT-Systemen und Diensten im Schulwesen ausschließlich über ein Bildungsstammportal gemäß § 6e BilDokG 2020 zulässig.
(1) Allen Schülerinnen und Schülern an Schulen gemäß § 2 Z 1 BilDokG 2020 sowie deren Erziehungsberechtigten ist die Teilnahme am Bildungsportal zu ermöglichen.
(2) Die für das Berechtigungsmanagement zum Bildungsportal notwendigen Identitätsdaten nach § 6d BilDokG 2020 werden im IT-System „edu.IDAM“ verwaltet.
(1) Zur Integration weiterer IT-Systeme und Dienste in das Bildungsportal auf Vorschlag einer Bildungsdirektion oder eines privaten Schulerhalters ist durch den Diensteanbieter als Auftragsverarbeiter eine Auftragsverarbeitervereinbarung mit der Bundesministerin oder dem Bundesminister für Bildung als Verantwortlicher für das Bildungsportal abzuschließen und zu dokumentieren, wie die technischen und organisatorischen Maßnahmen dieser Verordnung sowie die Schnittstellenspezifikation und Teilnahmebedingungen des Bildungsportals eingehalten werden.
(2) IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 und 2 sind grundsätzlich webbasiert zur Verfügung zu stellen, soweit sie nicht ausschließlich auf dienstlichen Endgeräten im Schulnetz verwendet werden. Beim Design des IT-Systems oder Dienstes ist darauf zu achten, dass die für die Anwenderinnen und Anwender benötigte Funktionalität grundsätzlich ohne Speicherung personenbezogener Daten am Endgerät gewährleistet ist. Die Datensicherheit der IT-Systeme und Dienste kann insbesondere über einschlägige Zertifizierungen nachgewiesen werden. Im Zuge der ersten Inbetriebnahme ist ein dem Stand der Technik entsprechender und dem Risikopotential der Anwendung angemessener Penetrationstest sowie ein Third Party Review zur Bewertung der IT-Sicherheit durchzuführen.
(3) Für IT-Systeme und Dienste, die in einem Bildungsstammportal per Single sign-on (SSO) angebunden sind, ist ein Deep-Link bereitzustellen, der es der Bildungsportalnutzerin bzw. dem Bildungsportalnutzer ermöglicht, direkt über den SSO-Dienst des Bildungsportals in das jeweilige Bildungsstammportal zu gelangen, ohne dass es einer weiteren Anmeldung in diesem bedarf. Weiters ist durch das jeweilige Bildungsstammportal sicherzustellen, dass über eine Schnittstelle des Bildungsportals automatisiert die Berechtigung gepflegt wird, welche Personen oder Personengruppen der jeweiligen Bildungseinrichtung diesen Link (zum jeweiligen IT-Service oder Dienst) aufzurufen berechtigt sind. Dazu ist eine bidirektionale SSO-Kopplung zwischen dem Bildungsportal und dem jeweiligen Bildungsstammportal einzurichten.
(4) Im IT-System und Dienst ist im Zuge jedes Anmeldevorganges sicherzustellen, dass die aktuelle Rollen- und Berechtigungssituation berücksichtigt wird. Daher sind im Zuge des Anmeldevorganges die Informationen aus dem SSO-Token des Bildungsportals zu übernehmen oder die Nutzerdatenschnittstelle des Bildungsportals abzufragen.
(1) IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 für Schulen sind in Rechenzentren zu betreiben, deren Standorte und deren Hauptniederlassung sich im EWR-Raum bzw. in Staaten, hinsichtlich derer ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO besteht, befinden und geeignete und verhältnismäßige technische und organisatorische Sicherheitsvorkehrungen aufweisen. Diese haben den Stand der Technik zu berücksichtigen und dem Risiko, das mit vernünftigem Aufwand feststellbar ist, angemessen zu sein.
(2) IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 2 bis 4 können über die Regelung in Abs. 1 hinaus auch in Rechenzentren sonstiger geeigneter Clouddiensteanbieter gehostet werden. Beim Heranziehen solcher Clouddiensteanbieter ist jeweils auf eine vertraglich vereinbarte Bindung der Datenverarbeitungsstandorte im EWR-Raum oder in Staaten, hinsichtlich derer ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO besteht, Bedacht zu nehmen. Es sind nur jene Clouddiensteanbieter heranzuziehen, die eine Vereinbarung mit der Bundesministerin oder dem Bundesminister für Bildung abgeschlossen haben. Diese hat sich nach den Rahmenbedingungen des Bundesministeriums für Bildung für den Einsatz privater Clouddiensteanbieter im IKT-gestützten Unterricht zu richten.
(3) Zur Sicherstellung der IT-Sicherheit können IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 bis 5 auch für mehrere Schulen zentral gehostet werden, wobei durch eine Berechtigungsverwaltung sicherzustellen ist, dass auf Schülerinnen- und Schülerdaten einer Schule nur durch die jeweilige Schulleitung zugegriffen werden darf.
Die Schulleitung, die Bildungsdirektorinnen und -direktoren sowie die Stelle gemäß § 6e Abs. 5 BilDokG 2020 haben jeweils in ihrem Verantwortungsbereich gemäß § 4 Abs. 1 BilDokG 2020 sicherzustellen, dass
1. Datenverarbeitungen gemäß § 4 Z 1 vor unbefugter Einsicht geschützt sind,
2. der Zutritt zu Räumen, in denen solche Datenverarbeitungen stattfinden, nur befugten Benutzerinnen und Benutzern möglich ist und bei etwaigem Parteienverkehr in diesen Räumen keine Einsichtnahme in die Daten erfolgen kann,
3. Datenverarbeitungen gemäß § 4 Z 1 bis 4 nur durch Bedienstete der eigenen Dienststelle nach Abwägung der Erforderlichkeit für die Erfüllung der schulrechtlich vorgesehenen Zwecke möglich sind, und nur diesen die dafür erforderlichen Zugangsberechtigungen eingeräumt werden,
4. Bedienstete der eigenen Dienststelle in regelmäßigen Abständen über die Bestimmungen der DSGVO und des Datenschutzgesetzes – DSG, BGBl. I Nr. 165/1999, belehrt werden, insbesondere hinsichtlich
a) der Wahrung des Datengeheimnisses gemäß § 6 DSG,
b) der datenschutzrechtlichen Zweckbindung, auf deren Grundlage personenbezogene Daten nur für die schulrechtlich vorgesehenen Zwecke verarbeitet werden, dürfen sowie
c) des Inhalts dieser Verordnung.
Um die Funktionalität und Sicherheit aller digitalen Endgeräte mittels geeigneter technischer Maßnahmen, insbesondere durch Integration in eine Endgeräteverwaltung, sicherzustellen, haben die von der Stelle gemäß § 6d Abs. 5 BilDokG 2020 bzw. vom Dienstgeber eingesetzten Systeme zur Endgeräteverwaltung folgende technische und organisatorische Maßnahmen zu gewährleisten:
1. automatisiertes Einspielen von Sicherheits- und Betriebssystemupdates auf den digitalen Endgeräten,
2. aktueller Schutz vor Schadsoftware auf digitalen Endgeräten zum Schutz des Schulnetzes,
3. sicherer Betrieb im Schulnetz gemäß den für die jeweilige Benutzerin oder den jeweiligen Benutzer festgelegten Zugriffsrechten,
4. bei Verlust die Möglichkeit zur Fernlokalisierung, Fernsperre bzw. Fernlöschung der digitalen Endgeräte bei technischer Möglichkeit auf ausdrücklichen und dokumentierten Wunsch der Geräteinhaberin oder des Geräteinhabers, soweit das Endgerät erreichbar ist,
5. Aktivierung der für die Endgeräteverwaltung erforderlichen Software-Komponenten auf den verwalteten digitalen Endgeräten und
6. Integration einer Kinderschutzfunktionalität (insbesondere Schutz vor unangemessenen Internet-Inhalten).
(1) Die Verwendung digitaler Endgeräte ist zulässig
1. für Datenverarbeitungen gemäß § 4 Z 1 und 2, sofern die Endgeräte
a) durch den Dienstgeber als Sachbehelf gemäß § 80 BDG 1979 bzw. § 23 VBG zur Verfügung gestellt werden,
b) die vorgesehenen Methoden im Rahmen der Mehr-Faktor-Authentifizierung gemäß § 5 Abs. 2 unterstützen,
c) mit einer Endgeräteverwaltung gemäß § 10 betrieben werden bzw. durch die Betreuung der Dienstgeräte im Rahmen der Schul-IT alle Anforderungen des § 10 Z 1 bis 4 gewährleistet sind und
d) lokale Daten möglichst in verschlüsselter Form speichern und
2. für Datenverarbeitungen gemäß § 4 Z 3 und 4, sofern die im Schulnetz befindlichen Endgeräte mit einer Endgeräteverwaltung gemäß § 10 betrieben werden.
(2) Wenn an einem Schulstandort die Entscheidung für die einheitliche Verwendung digitaler Endgeräte insbesondere im Rahmen eines Digitalisierungskonzepts gemäß § 2 Abs. 2 SchDigiG getroffen wurde, so ist eine Beschreibung der Gerätetypen festzulegen und sind ausschließlich Endgeräte dieser Typen zu verwenden.
(3) Um die Speicherung personenbezogener Schülerinnen- und Schülerdaten am Endgerät zu vermeiden, sind IT-Systeme und Dienste für Datenverarbeitungen gemäß § 4 Z 1 und 2 grundsätzlich webbasiert zur Verfügung zu stellen. Stehen ausnahmsweise an Schulen keine webbasierten IT-Systeme und Dienste für die genannten Datenverarbeitungen zur Verfügung, so sind durch die jeweiligen Stellen gemäß § 6e Abs. 5 BilDokG 2020 technische und organisatorische Maßnahmen, die eine gleichwertige IT-Sicherheit wie beim Einsatz webbasierter Lösungen gewährleisten, vorzusehen und diesbezügliche Regelungen, wie etwa Festplattenverschlüsselung, für die Verwendung festzulegen.
(1) Unter Berücksichtigung der Anforderungen des § 11 ist die Verwendung eines digitalen Endgerätes im Schulnetz als Arbeitsmittel im IKT-gestützten Unterricht, zum eigenständigen Lernen und für Zwecke der Schulverwaltung zulässig.
(2) Unzulässig ist
1. eine Verwendung für kommerzielle oder gewerbliche Zwecke,
2. eine übermäßige Auslastung des Schulnetzes für private Zwecke,
3. die Integration von kommerzieller Werbung (ausgenommen die Diskussion über die Vor- und Nachteile eines Produktes durch Benutzerinnen und Benutzer) in schüler- oder lehrerbezogene Webpräsenzen sowie Lernplattformen,
4. eine Verwendung mit dem Ziel der Realisierung von illegalen Handlungen sowie der Versuch, unberechtigten Zugang zu Systemen, Software, Diensten oder Informationen zu erlangen,
5. eine Verwendung zu Zwecken der Nachrichtenübermittlung, welche die öffentliche Ordnung und Sicherheit oder die Sittlichkeit gefährdet oder gegen Gesetze verstößt,
6. eine Verwendung, die eine Belästigung oder Verängstigung anderer Benutzerinnen oder Benutzer bewirkt,
7. jegliche Verwendung, die andere Benutzerinnen oder Benutzer behindert oder das gute Funktionieren der Services des Schulnetzes stört,
(1) Die im IKT-gestützten Unterricht eingesetzten IT-Systeme und Dienste haben den Videoeinsatz und die Präsentationsmöglichkeiten zu unterstützen.
(2) Bei Aktivierung der Kameras sind die technischen Möglichkeiten der Schülerinnen und Schüler, der Schutz der familiären Privatsphäre in der Wohnung der Schülerinnen und Schüler sowie die besonderen Bedürfnisse von Schülerinnen und Schülern mit Behinderung nach Maßgabe der technischen Möglichkeiten zu berücksichtigen.
(3) Aufzeichnungen des Unterrichts durch Video- oder Audioaufnahmen oder Screenshots sind nur mit Einwilligung aller Betroffenen gemäß Art. 7 DSGVO in Verbindung mit § 4 Abs. 4 DSG zulässig.
Sofern die Erziehungsberechtigten die Möglichkeit einer elektronischen Kommunikation mit der Schule nützen wollen, ist durch die zum Einsatz kommenden IT-Systeme und Dienste sicherzustellen, dass die elektronische Kommunikation mit den Erziehungsberechtigten der jeweiligen Schülerin bzw. des jeweiligen Schülers erfolgt und die Kenntnisnahme der Nachricht durch die Erziehungsberechtigten für die Schule nachvollziehbar ist.
Bis zur Herstellung der nötigen Schnittstellen zwischen dem Datenverbund der Schulen und dem Bundesministerium für Inneres zur Vollziehung des § 6a BilDokG 2020 einerseits und der nötigen Schnittstellen zwischen dem Datenverbund der Schulen und den lokalen Evidenzen zur Vollziehung der §§ 6a und 6b BilDokG 2020 andererseits haben die Schulleitungen, die das Bildungsstammportal gemäß § 6e BilDokG 2020 nutzen, die Daten gemäß § 6d BilDokG 2020 über Schnittstellen aus den jeweiligen lokalen Evidenzen gemäß § 5 BilDokG 2020 für Zwecke des Identitätsmanagements und der Synchronisation in den IT-Systemen Bildungsportal-bildung.gv.at und edu.IDAM an den Datenverbund der Schulen zu übermitteln. Sie haben die Kosten zu tragen, die durch die Herstellung und den Betrieb der Schnittstelle zur Anbindung an das Bildungsstammportal des Bundes entstehen.
Soweit in dieser Verordnung auf Bundesgesetze verwiesen wird, sind diese in der mit dem Inkrafttreten der jeweils letzten Novelle dieser Verordnung geltenden Fassung anzuwenden.
(1) Diese Verordnung tritt mit 1. September 2021 in Kraft.
(2) Das Inhaltsverzeichnis der den § 6 betreffenden Eintrag, § 1, § 2 Z 2, § 4 Z 1 lit. b, § 4 Z 2, § 4 Z 7 bis 13, § 5 Abs. 3, § 6 samt Überschrift, § 7 Abs. 1, 3 und 4, § 8 Abs. 1 und 2, § 9, § 10, § 11 Abs. 3 und § 16 in der Fassung der Verordnung BGBl. II Nr. 14/2026 treten mit Ablauf des Tages der Kundmachung der genannten Verordnung in Kraft und sind nach Maßgabe der technischen Möglichkeiten anzuwenden. Gleichzeitig treten der den 5. Abschnitt des Inhaltsverzeichnisses betreffende Eintrag sowie der 5. Abschnitt außer Kraft.
Diese Verordnung gilt für
1. die Bildungsdirektionen,
2. die Stelle gemäß § 6e Abs. 5 des Bildungsdokumentationsgesetzes 2020 – BilDokG 2020, BGBl. I Nr. 20/2021,
3. Bildungseinrichtungen gemäß § 2 Z 1 lit. a, c und e BilDokG 2020 mit der Maßgabe, dass
a) hinsichtlich der Privatschulen ohne gesetzlich geregelte Schulartbezeichnung nur der 2. Abschnitt anzuwenden ist,
b) die §§ 13 und 14 nur auf Bildungseinrichtungen im Geltungsbereich des Schulunterrichtsgesetzes – SchUG, BGBl. Nr. 472/1986, anzuwenden sind sowie
4. Bildungseinrichtungen gemäß § 2 Z 1 lit. b und d BilDokG 2020, ausgenommen die §§ 5, 7, 8, 9 und 12.
4. unter dem Begriff „IT-Services für pädagogische Zwecke“: Maßnahmen zur Schaffung der technischen Rahmenbedingungen für IKT-gestützten Unterricht und elektronische Kommunikation, insbesondere die Zurverfügungstellung von Lernplattformen sowie die Einrichtung von Schülerinnen- und Schüler-Mail-Postfächern, Online-Office-Umgebungen, Onlinespeicherplatz und Webpräsenzen (zB für Projekte);
5. unter dem Begriff „Fernverwaltung“: der Zugriff von Lehrpersonen auf die Schülerinnen- und Schülergeräte während des IKT-gestützten Unterrichts;
6. unter dem Begriff „Authentifizierung“: die Überprüfung der Identität einer Benutzerin oder eines Benutzers im Zuge eines Anmeldevorgangs an einem IT-System und Dienst;
7. unter dem Begriff „Bildungsstammportal“: ein Portal gemäß § 2 Z 17 BilDokG 2020;
8. unter dem Begriff „Bildungsportalverbund“: ein Verbund gemäß § 2 Z 18 BilDokG 2020;
9. unter dem Begriff „Bildungsportal“: das Bildungsportal des Bundes – bildung.gv.at gemäß § 2 Z 19 BilDokG 2020;
10. unter dem Begriff „IT-Systeme und Dienste“: Systeme und Dienste gemäß § 2 Z 20 BilDokG 2020;
11. unter dem Begriff „digitale Endgeräte“: Einrichtungen zur elektronischen oder nachrichtentechnischen Übermittlung, Speicherung und Verarbeitung von Sprache, Text, Stand- und Bewegtbildern sowie Daten, die zur Datenverarbeitung und -kommunikation eingesetzt werden können, insbesondere Notebooks oder Tablets; diese können durch den Dienstgeber als Sachbehelf gemäß § 80 des Beamten-Dienstrechtsgesetzes 1979 – BDG 1979, BGBl. Nr. 333/1979, bzw. § 23 des Vertragsbedienstetengesetzes 1948 – VBG, BGBl. Nr. 86/1948, oder durch die Erziehungsberechtigten als Arbeitsmittel gemäß § 14a iVm § 61 SchUG bereitgestellt werden;
12. unter dem Begriff „Schulnetz“: die Gesamtheit aller Netzwerke, Komponenten und Server, die Software, Dienste und Daten bereitstellen, um am Schulstandort durch digitale Endgeräte (unabhängig vom wirtschaftlichen Eigentümer) genutzt zu werden;
13. unter dem Begriff „Stelle gemäß § 6e Abs. 5 BilDokG 2020“: jene öffentliche Stelle, die über den Einsatz von IT-Systemen und Diensten entscheidet oder eine Schulerhalterin bzw. ein Schulerhalter.
(3) Über die Zulässigkeit einer konkreten Verwendung hat im Zweifelsfall die Schulleitung zu entscheiden.
(4) Die Schulleitung kann weitere standortspezifische IT-Nutzungsbedingungen anordnen. Sie kann dabei das Schulforum bzw. den Schulgemeinschaftsausschuss beratend beiziehen.
